27 février 2018
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 2 sur 63
LOIS
LOI no 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation
au droit de l’Union européenne dans le domaine de la sécurité (1)
NOR : INTX1728622L
L’Assemblée nationale et le Sénat ont adopté,
Le Président de la République promulgue la loi dont la teneur suit :
TITRE Ier
DISPOSITIONS TENDANT À TRANSPOSER LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN
ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN
NIVEAU ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION DANS
L’UNION
CHAPITRE Ier
DISPOSITIONS COMMUNES
Article 1er
Pour l’application du présent titre, on entend par réseau et système d’information :
1o Tout réseau de communications électroniques tel que défini au 2o de l’article L. 32 du code des postes et des
communications électroniques ;
2o Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments
assurent, en exécution d’un programme, un traitement automatisé de données numériques ;
3o Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1o et 2o
du présent article en vue de leur fonctionnement, utilisation, protection et maintenance.
La sécurité des réseaux et systèmes d’information consiste en leur capacité de résister, à un niveau de confiance
donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données
stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes
d’information offrent ou rendent accessibles.
Article 2
Les dispositions du présent titre ne sont pas applicables aux opérateurs mentionnés au 15o de l’article L. 32 du
code des postes et des communications électroniques pour leurs activités liées à l’exploitation de réseaux de
communications électroniques ou à la fourniture de services de communications électroniques, ni aux prestataires
de services de confiance soumis aux exigences énoncées à l’article 19 du règlement (UE) no 910/2014 du Parlement
européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Elles ne sont pas non plus applicables aux opérateurs de services essentiels ni aux fournisseurs de service
numérique pour les réseaux et systèmes d’information mentionnés au premier alinéa des articles 5 et 12 de la
présente loi, qui sont soumis, en application d’un acte juridique de l’Union européenne, à des exigences sectorielles
de sécurité et de notification d’incidents ayant un effet au moins équivalent aux obligations résultant de
l’application du présent titre.
Article 3
I. – Les prestataires de service habilités à effectuer des contrôles en application du présent titre sont soumis aux
mêmes règles de confidentialité et de discrétion professionnelle que les agents publics et les services de l’Etat à
l’égard des informations qu’ils recueillent auprès des opérateurs mentionnés à l’article 5 et des fournisseurs de
service numérique mentionnés à l’article 11.
II. – Lorsqu’elle informe le public ou les Etats membres de l’Union européenne d’incidents dans les conditions
prévues aux articles 7 et 13, l’autorité administrative compétente tient compte des intérêts économiques de ces
opérateurs et fournisseurs de service numérique et veille à ne pas révéler d’informations susceptibles de porter
atteinte à leur sécurité et au secret en matière commerciale et industrielle.
Article 4
Les modalités d’application du présent titre sont déterminées par décret en Conseil d’Etat. Ce décret fixe
notamment la liste des services essentiels au fonctionnement de la société ou de l’économie mentionnés à